近日在互联网网上发现的新蠕虫"紫丁香",是通过被感染电子邮件的附件进行传播。被传播的信件有以下特征:

　　主题: FW:FW: LILAC project video attach

　　附件名: LILAC_WHAT_A_WONDERFULNAME.avi

　　附件大小: 12208 байт.

　　正文:

　　Things that the govt. dont want you to know

　　在系统中第一次执行时，蠕虫尝试着把自己复制到以下路径中：

　　c:win98tempLILAC_WHAT_A_WONDERFULNAME.avi

　　c:windowstempLILAC_WHAT_A_WONDERFULNAME.avi.exe

　　c:win95tempLILAC_WHAT_A_WONDERFULNAME.avi.exe

　　c:winnttempLILAC_WHAT_A_WONDERFULNAME.avi.exe

　　c:winmetempLILAC_WHAT_A_WONDERFULNAME.avi.exe

　　c:winxptempLILAC_WHAT_A_WONDERFULNAME.avi.exe

　　并把下列信息记录写到注册表中以便启动时被自动执行：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

　　Lilac=(上面路径中的一个)

　　然后，显示假的出错信息：

　　

　　

　　蠕虫从Windows的地址薄和Outlook中获得地址，然后使用这些地址来传播被感染的信件，即使用Outlook的功能来传播。

　　它会改变系统的信息，在注册表中写下如下值：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

　　RegisteredOwner=xEnOcrAtEs

　　LegalNoticeCaption=Owned by:

　　LegalNoticeText=Owned by: xEnOcrAtEs

　　这使得每次Windows启动时都会显示下列信息窗口：